中国で6月に開催されたGSMAのイベント「モバイルワールドコングレス上海2018」で、KDDIなど世界の15の通信事業者が、GSMAが策定する「IoTセキュリティガイドライン」の業界への普及に取り組むと発表した。
ビジネスや生活の様々な領域にIoTを普及させるためには、不正遠隔操作やデータの盗聴といったセキュリティ課題への対応が不可欠となる。
IoTセキュリティガイドラインは、その手立てとしてGSMAがIoTサービス事業者、デバイスメーカー、開発会社、通信事業者を対象に、2016年に策定したものだ。
LTE-M、NB-IoTなどの新技術を盛り込んだ「バージョン2.0」が昨年10月に取りまとめられたのを機に、GSMAは各国の通信事業者にガイドラインの普及活動への参画を呼びかけた。
今回の発表はこれを受けたもので、KDDIのほか、米AT&T、中国の通信大手3社、ドイツテレコム、オレンジ、テレフォニカ、テレノールグループ、テリア、ボーダフォンの欧州勢、韓国のLGユープラス。中東・アフリカで事業を展開するエミレーツ、ザイン、トルコのタークセルが賛同を表明した。
KDDIの原田圭悟氏は「海外で重大なインシデントが起こっており、IoTのセキュリティへの関心が高まってきていることも、この動きの背景にある」と話す。
セキュリティの底上げに期待GSMAのガイドラインは、大きく2つのパートに分かれている。まずは、セキュリティ対策のポイントをIoTシステムの構成要素であるサーバー、データベース、クラウド、ネットワーク、端末などに分けて解説したパートだ。特にモバイル通信に限定したものではなく、汎用的なIoTのセキュリティ対策の指針を示したものだ。
もう1つのパートでは、通信事業者がIoT向けサービスを提供するための技術や機器・端末の観点から、セキュリティのガイドラインを示している。
なお、これらはGSMAに加盟する通信事業者に対して強制力を持つものではなく、参照文書として位置づけられている。
GSMAは、IoTセキュリティガイドラインを「概要」「IoTサービス」「エンドポイント(端末)」「通信事業者向け」の4つの文書に分けてWeb上で公開しており、日本語でも読むことが可能だ。
「IoTセキュリティガイドライン」の概要解説書。
これを含む4つのガイドライン文書がGSMAのWebサイトで公開されている
それでは、今後このガイドラインは、どのような形で活用されることになるのだろうか。
原田氏はKDDIのサービスに関しては、「社内でより厳しい規定を運用しており、特に扱いが変わるわけではない」という。GSMAのガイドラインは、日本の通信事業者にとっては常識的なものとなっている。
そこで原田氏は次のように語る。「IoTには、通信に馴染みのない企業も多く取り組んでおり、ガイドラインを活用してもらうことで、セキュリティの底上げが図れるのではないか」
また、「ガイドラインを通じて発展途上国のセキュリティレベルが向上すれば、IoTのグローバル展開にも弾みが付く」とも期待する。
ただ、原田氏は「ユーザーがガイドラインを見て、1つ1つ対策を講じるのは困難だ」とも指摘している。
KDDIは、SIM情報を用いて自動的に強固な暗号化通信を実現する技術を開発。このセキュリティ技術を実装したLTE-Mサービス「KDDI IoTコネクト LPWA」を今年1月から提供している。本当にセキュリティを確保するには、こうしたユーザーに意識をさせない対策が重要だという。